节能监管服务软件软件可靠性和安全性设计准则.doc

节能监管服务软件 软件可靠性与安全性设计准则 1 范围 3 1.1主题内容 3 1.1适用范围 4 2 一般要求 4 3 详细要求 4 3.1计算机系统设计 4 3.1.1硬件与软件功能的分配原则 4 3.1.2硬件与软件可靠性的分配原则 4 3.1.3安全关键功能的人工确认 4 3.1.4安全性内核 4 3.1.5自动记录系统故障 5 3.1.6禁止回避检测出的不且安全状态 5 3.1.7必威体育官网网址性设计 5 3.1.8容错设计 5 3.1.9 安全关键软件的标识原则 5 3.2软件需求分析 5 3.3软件危险分析 5 3.3 安全关键功能的设计 6 3.4 接口设计 6 3.4.1硬件接口的软件设计 6 3.4.2人机界面设计 6 3.4.3报警设计 6 3.4.4软件接口设计 6 3.5 软件健壮性设计 7 3.5.1监控定时器的设计 7 3.5.2异常保护设计 7 3.6 简化设计 7 3.6.1模块的单入口和单出口 7 3.6.2模块的独立性 7 3.6.3模块的扇入与扇出 8 3.6.4模块的耦合方式 8 3.6.5模块的内聚方式 8 3.7 防错程序设计 8 3.7.1参数化 8 3.7.2公共数据和公共变量 8 3.7.3标志 9 3.7.4标志 9 3.7.5非授权存储的限制 9 3.7.6无意指令跳转的处理 9 3.7.7程序检测点得设置 9 3.8 编程要求 9 3.8.1语言要求 9 3.8.2高级语言的限制 10 3.8.3软件单元规模 10 3.8.4命名要求 10 3.8.5程序格式要求 10 3.8.6程序注释要求与方法 10 3.8.7程序设计风格 11 4 数据库设计要求 12 3.9.1数据库表的建立 12 3.9.2数据库表的命名 13 3.9.3数据库编程规范 13 3.9.4数据查询优化 14 范围 1.1主题内容 本指导内容给出了计算机软件可靠性和安全性设计的准则和要求 1.1适用范围 本文主要适用于软件的需求分析、设计和实现。 一般要求 开发可靠软件首先必须采用软件工程方法，搞好软件开发工程化。应特别注意以下几点: 软件开发规范化。图形符号、程序构造都应该有一致的约定。 尽可能采用先进、适用的软件开发工具 加强软件检查和测试。应该尽早展开软件测试，采取措施（如自检、互检、专检相结合的三检制，制定设计检查单等）使检查工作切实有效。 详细要求 3.1计算机系统设计 3.1.1硬件与软件功能的分配原则 对具有高可靠性和安全性要求的功能应权衡用硬件实现还是用软件实现的利弊，做出妥善的决策 3.1.2硬件与软件可靠性的分配原则 软件的可靠性指标应与硬件的可靠性指标大体相当，可根具体情况做出调整，但调整的幅度不易过大 3.1.3安全关键功能的人工确认 在系统控制回路中，安全关键功能的执行在可能时必须经操作人员确认或启动。 3.1.4安全性内核 在关键的计算机系统中，应该设计一个称为安全性内核的独立计算机程序，用来监视系统并防止系统进去不安全的状态。当出现潜在不安全的系统状态或有可能转到这种状态时，它将系统转移到指定的安全状态 3.1.5自动记录系统故障 必须采取措施自动记录检测出的所有系统故障及系统运行情况。 3.1.6禁止回避检测出的不且安全状态 在系统设计时考虑故障的自动检测，一旦检测出不安全的状态系统应作出正确响应，不得回避。 3.1.7必威体育官网网址性设计 系统设计应防止越权或意外的存取或修改软件 3.1.8容错设计 对可靠性要求很高的系统应同时考虑硬件和软件的容错设计，而不能只考虑硬件的容错设计。 3.1.9 安全关键软件的标识原则 故障检测的优先级结构及安全性控制或校正逻辑、处理和响应故障的模块 中断处理程序、中断优先级模式及允许或禁止中中断的例行程序。 产生对硬件进行自主控制信号的软件。 产生直接影响硬件部件运动或启动安全关键功能的型号的软件。 其输出是显示安全关键硬件的状态的软件。 3.2软件需求分析 软件需求分析必须确保软件需求规格说明的无歧义性、完整性、可验证性、一致性、可修改性、可追踪性和易使用性。 对有可靠性指标的软件，在确定了软件的功能性需求之后，应考虑软件的可靠性指标是否能够达到以及是否能够验证，还应与用户密切配合，确定软件使用的功能剖面，并制定软件可靠性测试计划。 对安全关键软件，必须列出可能的不期望事件，分析导致这些不期望事件的可能原因，提出相应软件的处理要求 3.3软件危险分析 应在开发的各个阶段进行软件危险分析 3.3 安全关键功能的设计 安全关键功能必须至少受控于两个独立的功能 安全关键的模块必须与其他模块隔离，安全关键的模块必须放在一起，以便对其进行保护。 安全关键的模块必须具有强数据类型；不得使用一位的逻辑“0”或“1”来表示“安全”或“危险”的状态；其判定条件不得